Branche - geschrieben von cp am Donnerstag, Dezember 17, 2020 12:18 - noch keine Kommentare
PLEASE_READ_ME: Automatisierter Ransomware-Befall auf MySQL-Servern
Aktuelle Kampagne nimmt mindestens seit Januar 2020 Datenbankserver ins Visier
[datensicherheit.de, 17.12.2020] Guardicore hat eine aktuelle Ransomware-Kampagne aufgespürt, die MySQL-Datenbankserver ins Visier nimmt und mindestens seit Januar 2020 aktiv ist. Die Malwareless-Attacke PLEASE_READ_ME verwendet ein vergleichsweise simples Angriffsmuster, um schwache Zugangsdaten von MySQL-Servern mit direkter Internetverbindung auszunutzen. Insgesamt wurden sieben TB Daten aus mehr als 250.000 verschiedenen Datenbanken kompromittiert.
Die Ransomware-Kampagne PLEASE_READ_ME verwendet keinen binären Payload – es handelt sich also um eine neuartige Malwareless-Attacke ohne Lateral Movement. Das Forscherteam von Guardicore Labs spricht von automatisierter „Fabrik-Ransomware“, mit der sich ungezielte Massenangriffe durchführen lassen. Die Lösegeldforderungen pro Opfer sind zwar geringer, aber die Zahl infizierter Rechner umso höher. Die Erpresser haben mittlerweile 250.000 Datenbanken von 83.000 erfolgreich komprimittierten Unternehmen zum Kauf angeboten.
Im Rahmen der Kampagne ist Guardicore Labs auf zwei verschiedene Varianten gestoßen: Von Januar bis November 2020 hinterlegten die Angreifer eine Lösegeldforderung in Höhe von $25.000 mit ihrer Wallet-Adresse (und einer E-Mail-Adresse für technische Unterstützung). In einer zweiten Phase vom 3. Oktober bis zum 30. November 2020 verwiesen die Erpresser ihre Opfer nicht auf das Bitcoin-Wallet oder die E-Mail-Adresse, sondern forderten Unternehmen zu Geldüberweisungen direkt über eine Webseite im TOR-Netzwerk auf.
Kampf gegen Cyberkriminalität
„Die erste Attacke haben wir über unser Guardicore Global Sensors Network (GGSN) bereits am 24. Januar 2020 registriert. Seitdem sind insgesamt 92 Attacken von unseren Sensoren aufgezeichnet worden, deren Anzahl seit Oktober stark zunimmt“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „Die Angriffe wurden von elf unterschiedlichen IP-Adressen ausgeführt, von denen die Mehrzahl aus Irland und Großbritannien stammen. Wir haben die Attacken zu dem Zeitpunkt genauer unter die Lupe genommen, als die Erpresser neben Lösegeldforderungen mit der Veröffentlichung gestohlener Daten begannen, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.“
Weitere Informationen zum Thema:
datensicherheit.de, 25.09.2019
Guardicore Labs: Smominru-Botnetz ist zurück
Guardicore Labs
PLEASE_READ_ME: The Opportunistic Ransomware Devastating MySQL Servers
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren